5 Tipps, wie Sie Ihre E-Mail-Security NIS2-compliant machen
Mehr als Virenschutz und Spam-Filter
München, 12.12.2024 // E-Mail ist der wichtigste Kommunikationskanal in Unternehmen und gleichzeitig der beliebteste Angriffsvektor für Cyberkriminelle. Daher spielt E-Mail-Security eine zentrale Rolle für die Cybersicherheit. Mit der neuen NIS2-Richtlinie wachsen die Mindestanforderungen an Risikomanagement und Schutzmaßnahmen. Was müssen Unternehmen tun, um ihre E-Mail-Landschaft NIS2-compliant zu machen?
Mit der NIS2-Richtlinie will die EU die Cybersicherheit wichtiger und besonders wichtiger Einrichtungen stärken. Derzeit arbeiten die Mitgliedsstaaten daran, die Direktive in nationales Recht zu überführen. In Deutschland erfolgt das über das NIS2-Umsetzungsgesetz, das im März 2025 in Kraft treten soll. Unternehmen wird dringend empfohlen, die Sicherheitsmaßnahmen für ihre E-Mail-Infrastruktur zu überprüfen, um die Compliance sicherzustellen. Denn der Kommunikationskanal Nummer eins ist die häufigste Eintrittspforte für Cyberangriffe. Artikel 21 der Richtlinie fordert „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.“ Was das für die E-Mail-Umgebung bedeutet, zeigen die folgenden fünf Tipps.
1. Etablieren Sie erweiterten E-Mail-Schutz
Die meisten Unternehmen haben bereits einen Basisschutz für ihre E-Mail-Umgebung. Dazu zählen Virenscanner und Phishing-Filter, die gefährliche E-Mails herausfiltern, bevor sie zugestellt werden. Doch damit lässt sich nur ein Teil der Bedrohungen abfangen. Denn Cyberkriminelle entwickeln laufend neue Malware-Varianten, die von signaturbasierten Security-Systemen nicht erkannt werden, solange noch keine passenden Erkennungsmuster vorliegen. Außerdem sehen wir vermehrt Social Engineering-Attacken wie CEO-Fraud, die ihre Opfer austricksen und dazu bringen, hohe Geldsummen zu überweisen oder sensible Daten preiszugeben. Solche Betrugsmaschen arbeiten meist mit nahezu perfekt gefälschten E-Mails, die für herkömmliche Phishing-Filter nur schwer von harmlosen Nachrichten zu unterscheiden sind. Um die Risiken für immer raffiniertere Cyberangriffe zu minimieren, brauchen Unternehmen erweiterten E-Mail-Schutz. Dazu zählen zum Beispiel KI-gestützte Analysen, die in der Lage sind, gefälschte Absender- und Domain-Adressen zu identifizieren. Wichtig ist zudem Time of Click Protection – eine Technologie, die alle in E-Mails enthaltenen Links überprüft und Aufrufe dahinter liegende Websites gegebenenfalls blockiert. Um neuartige Malware zu erkennen, sind darüber hinaus Sandbox-Analysen unverzichtbar, die E-Mails mit verdächtigen Anhängen auf bedrohliches Verhalten untersuchen.
2. Verschlüsseln Sie sensible E-Mails
Artikel 21, Absatz 2d der NIS2-Direktive fordert Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen. Auf E-Mail übertragen bedeutet das: Sie sollten die Kommunikation mit Ihren Zulieferern und Partnern absichern. Dafür eignet sich Verschlüsselung. Absatz 2h NIS2 schreibt explizit Konzepte und Verfahren für den Einsatz von Kryptographie vor. In der Praxis scheitert E-Mail-Verschlüsselung jedoch häufig an einer aufwendigen Administration der Schlüssel, an einer umständlichen Bedienung und daran, dass Kommunikationspartner keine Verschlüsselung nutzen und somit verschlüsselten E-Mails nicht lesen können. Gefragt ist daher eine Lösung, die ausgehende Mails mit nur einem Klick direkt im E-Mail-Client verschlüsselt, ohne dass sich der Absender mit technischen Details oder der Schlüsselverwaltung auskennen muss. Möglich wird das durch ein Secure E-Mail-Gateway, das alle gängigen kryptographischen Standards unterstützt. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.
3. Denken Sie an die Notfall-Kommunikation
Artikel 21, Absatz 2c der NIS2-Richtlinie fordert Maßnahmen zur Aufrechterhaltung des Betriebs, Absatz 2j gesicherte Notfall-Kommunikationssysteme. Für den E-Mail-Bereich bedeutet das: Sie brauchen einen Plan B, falls Ihre E-Mail-Infrastruktur durch einen Cyberangriff außer Kraft gesetzt wird. Wie können Sie dafür sorgen, dass die Mitarbeitenden in so einem Fall weiterhin in der Lage sind, Nachrichten zu versenden und zu empfangen? In der Praxis haben sich Lösungen für E-Mail-Continuity bewährt, die im Hintergrund einen externen, unabhängigen und sicheren Webmail-Service bereithalten. Im Krisenfall können Sie sofort auf die Notfallinfrastruktur umschalten. Wichtig dabei ist, dass der Service vom Anbieter mit vorprovisionierten Postfächern zur Verfügung gestellt wird. Denn nur mit den E-Mails der vergangenen Wochen sowie den gespeicherten Kontaktdaten können Sie im Notfall wirklich nahtlos weiter kommunizieren.
4. Untersuchen Sie auch bereits zugestellte E-Mails
Artikel 21, Absatz 2b schreibt Maßnahmen zur Bewältigung von Sicherheitsvorfällen vor. Um solche Maßnahmen treffen zu können müssen Sie in der Lage sein, Cyberangriffe schnell zu erkennen und zu untersuchen. Dafür ist es wichtig, die Eintrittspforte zu bestimmen und die Empfänger bereits zugestellter Schad-E-Mails schnell zu identifizieren. Möglich wird das über eine spezielle Patient-Zero-Detection-Technologie, die bereits beim E-Mail-Empfang einen digitalen Fingerabdruck aller Attachments erzeugt, in einer Datenbank speichert und dann kontinuierlich mit neuen Erkenntnissen aus der Malware-Forschung abgleicht. Sobald eine potenziell gefährliche Nachricht im Postfach eines Anwenders erkannt wird, kann diese – je nach Konfiguration – automatisch gelöscht oder in Quarantäne verschoben werden.
5. Verbessern Sie die Forensik
Artikel 23 der NIS2-Richtlinie definiert strenge Meldepflichten. Betroffene Unternehmen müssen einen erheblichen Cybervorfall innerhalb von 24 Stunden bei der zuständigen Aufsichtsbehörde melden, nach 72 Stunden einen Folgebericht einreichen und nach einem Monat einen Abschlussbericht, der eine detaillierte Beschreibung enthält. Um diese Vorgaben zu erfüllen, brauchen Sie schnell Zugriff auf relevante Daten. Daher ist es wichtig, Security-Informationen aus der E-Mail-Umgebung in übergreifenden Sicherheitssystemen wie einem SIEM (Security Information and Event Management) zu sammeln und auszuwerten. Eine entsprechende Lösung sollte die Daten in Form von Events in Echtzeit über eine geschützte Schnittstelle bereitstellen.
Fazit
NIS2-konforme E-Mail-Sicherheit bedeutet mehr als ein- und ausgehende Nachrichten lediglich zu prüfen. Unternehmen müssen die gesamte E-Mail-Infrastruktur betrachten und Konzepte sowohl für die Prävention, die Bedrohungserkennung als auch die Bewältigung von Cyberangriffen entwickeln. Darüber hinaus tragen Früherkennung und Schadensbegrenzung zu dem übergeordneten Ziel der Verbesserung der Cyber-Sicherheitslage in der EU bei. Daher empfiehlt es sich, eine integrierte Lösung zu wählen, die alle wichtigen E-Mail-Security-Funktionen unter einer Plattform vereint und modular bereitstellt. So können Unternehmen Management-Aufwand reduzieren und ihre bestehende Security-Infrastruktur ganz nach Bedarf ergänzen.
Über Retarus
Retarus ist ein globaler Anbieter von API